Beiträge

Mitarbeiter als Risiko beim Datenschutz

Mitarbeiter als Risiko beim Datenschutz

Hat ein Ex-Mitarbeiter Daten von seinen früheren Firmen-PC heruntergeladen, können sich Risiken nach der DSGVO und der Geheimnisschutz-Richtlinie ergeben.

Ein Mitarbeiter hat berechtigten Zugriff sowohl auf im Unternehmen verarbeitete personenbezogene Daten (Bewerber, Mitarbeiter, Kunden) als auch auf Geschäftsgeheimnisse (Produktentwicklungen, Preiskalkulationen). Er wechselt zu einem Mitbewerber seines Arbeitgebers. Nach seinem Abgang stellt sich heraus, dass er offenbar mit einem unternehmensfremden Datenträger auf seinen Firmencomputer zugegriffen hat. Welche Daten tatsächlich heruntergeladen wurden, ist nicht feststellbar, weil das Unternehmen kein System implementiert hat, das dokumentiert, von wem wann auf welche Daten zugegriffen wird. Nachweisbar sind nur die gehäuften Zugriffe auf seinen Computer kurz vor seinem Abgang. Eine Verwertung personenbezogener Daten und Geschäftsgeheimnisse durch den neuen Arbeitgeber ist nicht nachweisbar.

Was kann man tun, um das Risiko zu minimieren?

Abgesehen von arbeits-, wettbewerbs- und strafrechtlichen Themen können sich daraus auch nach der Datenschutz-Grundverordnung der EU (DSGVO) und der Geheimnisschutz-Richtlinie (EU) 2016/943 Risiken ergeben. In diesem Zusammenhang ist die Problematik dabei nicht wesentlich anders, wenn der Datenzugriff unberechtigt war, während des aufrechten Dienstverhältnisses entdeckt wurde und zur Entlassung geführt hat. Eine Verletzung der Datenschutzbestimmungen und der Regeln zum Schutz von Geschäftsgeheimnissen ist hier ebenfalls bereits erfolgt. Was tun im Fall solcher Rechtsverletzungen und zur Risikominimierung?

Zunächst zur DSGVO: Der Arbeitgeber ist Verantwortlicher nach der DSGVO, die Verarbeitung personenbezogener Daten muss nach den Grundsätzen der Rechtmäßigkeit (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, et cetera) erfolgen. Technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung wurden getroffen, die Mitarbeiter wurden auf das Datengeheimnis verpflichtet, und ein Kontrollsystem wurde eingerichtet. Trotzdem ist zu befürchten, dass eine rechtswidrige Entwendung von Daten passiert ist.

Wie bei Cyberattacken ist auch hier mittlerweile davon auszugehen, dass es sich um eine Art Standardrisiko handelt, bei dessen Eintritt ein gut implementierter Ablauf zur Erfüllung der gesetzlichen Verpflichtungen und Schadensminderung starten sollte. Wichtig ist vor allem, dass die Angelegenheit nicht als „peinlich“ vertuscht wird, sondern wie zum Beispiel bei Arbeitsunfällen eine professionelle und transparente Reaktion des Unternehmens erfolgt.

Durch eine Entwendung von personenbezogenen Daten fällt die Rechtmäßigkeit der Verarbeitung weg, und es ist von einer Datenschutzverletzung auszugehen. Somit sind die Melde- und Benachrichtigungspflichten gemäß der DSGVO und dem österreichischen Datenschutzgesetz (DSG) einzuhalten. Die Datenschutzbehörde ist unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden der Verletzung zu verständigen, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Vom Bestehen eines solchen Risikos muss wohl im Zweifel ausgegangen werden. Verzögerungen bei der Meldung sind zu begründen. Die Meldung hat die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu enthalten.

Grundsätzlich sind auch die von der Verletzung betroffenen Personen unverzüglich zu benachrichtigen. Es sei denn, der Arbeitgeber hat als Verantwortlicher geeignete technische und organisatorische Sicherheitsvorkehrungen implementiert, die wie zum Beispiel durch eine Verschlüsselung den Zugang zu den personenbezogenen Daten unmöglich machen, oder nachfolgende risikominimierende Maßnahmen getroffen. Wenn die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, kann stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen.

Verstöße gegen die DSGVO und das DSG können nicht nur zu Geldbußen führen, sondern berechtigen auch die Personen, deren Rechte auf Datenschutz verletzt wurden, grundsätzlich zu Ersatzansprüchen aus materiellen und immateriellen Schäden gegen den Arbeitgeber als Verantwortlichen. Eine Haftungsbefreiung tritt nur dann ein, wenn der Nachweis gelingt, dass der Arbeitgeber in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden entstanden ist. Das zeigt deutlich, wie wichtig technische und organisatorische Sicherheitsmaßnahmen und ein Maßnahmenplan für den Fall eines „Datenschutzunfalls“ sind, um Benachrichtigungspflichten und Schadenersatzansprüche aus Datenschutzverletzungen durch Mitarbeiter möglichst zu minimieren.

Zu den Geschäftsgeheimnissen: Die Geheimnisschutz-Richtlinie gilt in Österreich seit 9. Juni 2018 mangels Umsetzung direkt. Die Regierungsvorlage zur Umsetzung im Gesetz gegen den unlauteren Wettbewerb wird derzeit im Wirtschaftsausschuss des Parlaments behandelt und soll vor allem begriffliche Klarstellungen und auch eine Verbesserung des verfahrensrechtlichen Schutzes bringen.

Dem Arbeitgeber stehen bei der Entwendung von Geschäftsgeheimnissen zivil-, arbeits- und strafrechtliche Rechtsbehelfe zur Verfügung. Über eine einstweilige Verfügung kann die Unterlassung der Nutzung der entwendeten Geschäftsgeheimnisse erreicht werden. Eine rasche Beweissicherung läuft am besten über ein strafrechtliches Ermittlungsverfahren, erfordert aber Anhaltspunkte für den Verdacht der Weitergabe an Dritte zu Zwecken des Wettbewerbs beziehungsweise zur Verwertung.

Wenn wie im hier geschilderten Fall weder der Inhalt der entwendeten Daten noch die Verwertung durch den neuen Arbeitgeber oder sonstige Dritte zumindest bescheinigt werden können, fehlen die Grundlagen für die genannten Rechtsbehelfe einschließlich der für einen Schadenersatzanspruch notwendigen Nachweisbarkeit eines Schadens. Somit bleibt arbeitsrechtlich nur die Geltendmachung einer Vertragsstrafe, falls eine solche im Zusammenhang mit einer Konkurrenzklausel nach Vertragsende vereinbart wurde. Bei einer Konkurrenzklausel ohne Vertragsstrafe kann der Arbeitgeber die Erfüllung der Konkurrenzklausel durch ein Beschäftigungsverbot beim Mitbewerber verlangen.

Ein positives Betriebsklima kann helfen

Wesentlich ist, dass „angemessene Geheimhaltungsmaßnahmen“ nachweisbar zum Schutz der Geschäftsgeheimnisse implementiert wurden, da sonst gemäß der Definition in der Richtlinie mangels Vorliegen eines Geschäftsgeheimnisses kein Schutz gegeben ist. Zu solchen Maßnahmen gehören unter anderen vertragliche Verpflichtungen zur Geheimhaltung und Einhaltung von Unternehmensrichtlinien zum Geheimnisschutz, Regeln zu Erteilung und Entzug von Zugriffsberechtigungen sowie die vertragliche Zustimmung zur Dokumentation der Zugriffe und deren Kontrolle.

Erfahrungsgemäß helfen neben den genannten Maßnahmen auch ein positives Betriebsklima und eine die Mitarbeiter wertschätzende Unternehmenskultur, die zu einer Identifizierung der Mitarbeiter mit dem Unternehmen beiträgt. Dann ist auch die Versuchung geringer, dem Arbeitgeber zu schaden, um sich selbst zu nützen.

 

https://www.wienerzeitung.at/themen_channel/recht/recht/1011895_Mitarbeiter-als-Risiko-beim-Datenschutz.html

Wenn Roboter Menschen anstellen

Wenn Roboter Menschen anstellen

Die Novelle zum Arbeitszeitgesetz ist seit 1. September 2018 in Kraft, die Umsetzung in der Praxis sollte daher für eine optimale Personalplanung genutzt werden. Die Anhebung der Arbeitszeithöchstgrenzen auf zwölf Stunden pro Tag und 60 Stunden pro Woche erfordert vor allem Anpassungen bei bestehenden Gleitzeitvereinbarungen sowie All-in-Verträgen und hat Auswirkungen auf die Überstundenauszahlung. Eine transparente Arbeitszeiterfassung und korrekte Überstundenabrechnung samt Deckungsprüfung bei Überstundenpauschalen ist auch im Zusammenhang mit den aus Lohndumping drohenden Verwaltungsstrafen unabdingbar.

In den Medien wurden die Konsequenzen der Novelle auf die Entlohnung von Überstunden und das grundlose Ablehnungsrecht breit diskutiert. Etwas untergegangen ist aber, dass neben der ersten und zweiten nunmehr eine „dritte Führungsebene“ geschaffen wurde, die ebenfalls vom Arbeitszeitgesetz ausgenommen wird.

 

Keine klare Definition der „dritten Führungsebene“

Zu dieser „dritten Führungsebene“ zählen neben nahen Angehörigen in Einzelunternehmen auch sonstige Arbeitnehmer, denen jeweils maßgebliche selbständige Entscheidungsbefugnis übertragen ist. Und zwar dann, wenn deren gesamte Arbeitszeit aufgrund der besonderen Merkmale der Tätigkeit nicht gemessen oder im Voraus festgelegt wird, oder von den Arbeitnehmern selbst hinsichtlich Dauer und Lage festgelegt werden kann. Das ist leider keine klare Definition der Voraussetzungen für die Einordnung in die „dritte Führungsebene“.

Daher ist zumindest der Versuch einer vertraglichen Klarstellung empfehlenswert, bevor eine solche über die Rechtsprechung erfolgt ist. Ob ein Arbeitnehmer dem Arbeitszeitgesetz unterliegt oder nicht, hat schließlich weitreichende Konsequenzen, die bei angestellten Geschäftsführern angemessen sind, aber nicht unbedingt bei jedem Abteilungsleiter.

Zu beachten sind in der Praxis auch die nachstehenden Entscheidungen des Europäischen Gerichtshofs (EuGH) und des österreichischen Obersten Gerichtshofs (OGH). Der EuGH hat in zwei aktuellen Entscheidungen (C-619/16 und C-684/16) ausgesprochen, dass es unionsrechtswidrig ist, wenn ein Arbeitnehmer die ihm zustehenden Urlaubstage und damit auch seinen Anspruch auf eine finanzielle Abgeltung nicht verbrauchten Urlaubs schon allein deshalb verliert, weil er keinen Urlaub beantragt hat. Gemäß dem österreichischen Urlaubsgesetz verjährt der Urlaubsanspruch nach Ablauf von zwei Jahren ab dem Ende des Urlaubsjahres, in dem er entstanden ist.

https://www.wienerzeitung.at/themen_channel/recht/recht/1009337_Wenn-Roboter-Menschen-anstellen.html

Geschäftsgeheimnisse in Gefahr?

Geschäftsgeheimnisse in Gefahr?

Von Teresa Bogensberger und Andrea Zinober

Bis Samstag muss die Geheimnisschutz-Richtlinie der EU umgesetzt sein. Eine Regierungsvorlage dazu gibt es bis jetzt nicht.

Geschäftsgeheimnisse in Gefahr?

In der allgemeinen Aufregung über die notwendigen Maßnahmen im Zusammenhang mit der seit 25. Mai 2018 anzuwendenden EU-Datenschutzgrundverordnung (DSGVO) wurde die bis 9. Juni 2018 umzusetzende Geheimnisschutz-Richtlinie – Richtlinie (EU) 2016/943 – bis jetzt eher vernachlässigt. Dabei wird vor allem übersehen, dass die DSGVO lediglich die Daten natürlicher Personen und somit nicht Geschäftsgeheimnisse von Unternehmen schützt. Die Umsetzung der Geheimnisschutz-Richtlinie ist im Gesetz gegen den Unlauteren Wettbewerb (UWG) geplant, eine Regierungsvorlage dazu gibt es bis jetzt noch nicht.

Die Richtlinie definiert den Begriff des Geschäftsgeheimnisses erstmals einheitlich, wobei „angemessene Geheimhaltungsmaßnahmen“ Bestandteil dieser Definition sind. Damit sind nicht nur Maßnahmen zum Schutz vor kriminellen Angriffen auf das Geistige Eigentum der Unternehmen erfasst. Diese werden immer häufiger durch professionelle Anbieter abgedeckt, die über automatisierte Systeme das Internet auf unautorisierte Verwendungen von Marken, Domains oder auch urheberrechtlich geschützten Fotos prüfen.

Mangelndes Bewusstsein für Wert von Geschäftsgeheimnissen

Oft lauert die Gefahr im Unternehmen selbst, aber in vielen Unternehmen besteht ein mangelhaftes Bewusstsein für den Wert und die Einzigartigkeit von Geschäftsgeheimnissen, auch weil täglich mit diesen gearbeitet wird. Der Verlust von Geheimnissen kann leicht irreparabel sein. Die hier von Mitarbeitern und Führungskräften ausgehende Gefahr wird oft unterschätzt. Aktive Geheimhaltungsmaßnahmen im vertraglichen, organisatorischen und technischen Bereich sind daher zum Schutz dieser Unternehmenswerte unabdingbar. Folgende Maßnahmen sollten gesetzt werden: Dokumentation der Geschäftsgeheimnisse und der Schutzmaßnahmen; Unternehmensrichtlinien, zu deren Einhaltung sich alle Führungskräfte, Mitarbeiter und Vertragspartner verpflichten müssen; Vertraulichkeitsvereinbarungen mit Mitarbeitern und Vertragspartnern mit Weitergeltung nach Vertragsende, Konkurrenzverboten (bei aufrechtem Vertrag) und Konkurrenzklauseln (nach Vertragsende); „Need-to-know“-Basis beim Kreis der eingeweihten Personen und Umfang der erteilten Informationen einschließlich Zugangsbeschränkungen und Verschlüsselungen; Schulung der „Anwender“ (Mitarbeiter, Vertragspartner) und Kontrollen der Einhaltung der Schutzmaßnahmen; Protokollierung, welche Personen wann auf welche Inhalte zugegriffen haben; Regelmäßige Überprüfung auf mögliche Sicherheitslücken.

Im Verletzungsfall stehen zivil-, arbeits- und strafrechtliche Sanktionen zur Verfügung. Dazu gehören auch das Verbot der Herstellung und des Vertriebs rechtsverletzender Produkte, deren Vernichtung sowie Schadenersatzansprüche. Alle diese Ansprüche setzen aber voraus, dass „angemessene Geheimhaltungsmaßnahmen“ im oben genannten Sinn nachweisbar gesetzt wurden. Es ist daher höchste Zeit, dass Unternehmen ihre Schutzmaßnahmen an die neuen Bestimmungen zum Geheimnisschutz anpassen, um ihre Geschäftsgeheimnisse zu sichern.